-365 Membres 1407 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Résolue

mise a jour P-1206 et arkoon manager

Posée par Remi dans Administration

Bonjour,

Est-qu'il est encore possible d'accèder aux téléchargements sur https://support-https.arkoon.net/ ou est-ce définitement fermé ?

Je souhaiterai remettre a niveau 2 routeurs P-1206.

Merci

Non résolue

Rédirection des flux Stormshield U250SA

Posée par Jjd Des dans Administration

Bonjour à vous,

J'ai un petit souci pour faire une redirection NAT.

Nous avons un VPN entre un site distant et une interface de notre Stormshield en interne

( nommé CL).

Le VPN fonctionne parfaitement, le client envoie ses trames sur un serveur 10.7.X.X. qui correspond au réseau de l'interface CL.

Je souhaite que les flux envoyés sur ce serveur 10.7.X.X soient redirigés sur un serveur qui est dans un autre réseau du même Stormshield(adressage en 10.6.X.X --> Interface PR) .

 

Je ne suis pas réellement certain de la démarche à suivre pour rediriger les flux entre deux interfaces d'un meme Stormshield

 

Pouvez-vous m'éclairer ?

 

Merci d'avance.

Résolue

Maj firmware SN510 erreur upload echec de déchiffrement

Posée par Fb dans Administration

Bonjour à tous,

suite à une remise à 0 de la configuration sur un SN510 je souhaite installer le firmware 3.7.15 car je suis dnas un cluster et le second a cette version de firmware.

Le problème est que lorsque je veux mettre à jour le firmware j'ai l'erreur suivante:

Erreur serverd ret=200 code=00a00b03 msg=Eched de déchiffrement commande: UPLOAD

Est-ce que l'un de vous a déjà été confronté à cela et sait comment résoudre ce problème ?

 

Merci :)

 

Non résolue

SNMP avec Stormsheild

Posée par Fabrice B. dans Administration

Bonjour,

Je monitore depuis mon réseau pas mal de système via l'application "Zabbix" depuis plus d'un an maintenant. Notament mes stormsheild en SNMP v1.

Lundi dernier, j'ai passé le MAJ 4.1.6 et depuis, les requettes snmp de Zabbix ne passent plus vers tous les Stormsheilds montés via des tunels IPSEC alors que tout était OK juste avant.

Malgrès tous mes tests rien n'y fait, je n'arrive plus à monitorer mes pares-feu qui ne sont pas sur le même réseau que le serveur Zabbix.

Pour info, les trames SMTP passent bien d'un réseau à l'autre et j'arrive à monitorer des applications en SNMP sur les mêmes réseaux que les pare-feu qui ne marchent pas!

Avez-vous une idée ?

 

Non résolue

Filtrage web et authentifacation invité

Posée par Nicolas Jacopin dans Administration

Bonjour à tous. 

Je me casse les dents sur un paramétrage.

Présentation de la demande : 

Un SN210W avec une interface IN pour le réseau interne et l'interface DMZ dédiée au réseau guest. Filtrage https sans déchiffrement et portail captif en mode invité (déclaratif) à mettre en place. 

Je vous mets une copie d'écran de mes règles concernant la dmz (réseau guest) le filtrage https est ok. Si je fais du déchiffrement, lors de l’ouverture de l’exportateur, j’ai bien le portail captif qui apparait. Je peux à ce moment m’identifier. Donc la partie portail captif est ok

Si je désactive la deuxième du proxy ssl règle pour faire du filtrage sans déchiffrement, je perds l’authentification invité.

Il y a un problème dans l’énoncé. Si c’est des invités je ne vais pas déployer un certificat sur leurs postes… il faut donc que je désactive le déchiffrement.

Si quelqu’un aurait une copie d’écran des règles à mettre en place dans mon cas ça...

Voir la suite
Non résolue

RAZ URL embedded database

Posée par Alain Bosco dans Administration

Bonjour.

J'ai un SN510 dont la maintenance a expiré et l'option Extended Web Control aussi.

J'ai voulu passer sur la base URL embedded mais elle est non fonctionnelle et un message d'erreur est affiché "Error: update status of URL database unknown (Active Update status)".

Existe-t'il un moyen de la réparer ? La mettre à jour à une version quelconque (origine, fin de maintenance, ...) ?
J'ai essayé de lancer un autoupdate manuel par le web cli mais cela ne fonctionne pas.

Merci.

Non résolue

url portail captif

Posée par Thomas P dans Administration

Bonjour,

 

Je souhaite que le portail captif redirige vers une url avec un domaine plutôt que l'IP du Stormshield, j'ai généré un certificat let's encrypt. Le Stormshield présente bien ce certificat mais redirige toujours avec une IP, comment changer l'url ?

J'ai suivi ces deux posts :

https://open.arkoon.net/aoc/stormshield-sn510-creation-d-un-certificat-avec-let-s-encrypt-pour-le-portail-ca

https://open.arkoon.net/aoc/certificat-let-s-encrypt

 

Je pèche sur la partie p12

Résolue

Blocage de service sur ip publique depuis l'extérieur

Posée par Sam Sam dans Administration

Bonjour, je suis en apprentissage dans une boite qui utilise un firewall Stormshield.

Je souhaite bloquer l'accès à un service depuis l'extèrieur. J'ai préparé un profil de filtrage URL, puis préparé
ma règle de filtrage. J'ai bien rempli les champs état, action, source, port, inspection. Via uniquement HTTP, le blocage se fait bien.

Et lorsque je souhaite ajouter https, j'ai le message suivant:
"Une inspection appliquée sur un protocole SSL nécessite d'être précédée d'une règle déchiffrant ce trafic".

J'ajoute donc une règle au-dessus qui a comme action "déchiffrer" de "Internet" vers notre ip "publique".

Mais cette règle génère le message suivant:
"L'action 'déchiffrer' n'est pas autorisée lorsque la destination contient l'une des adresses du firewall"

Je suis donc bloqué. Sur ce service je peux autoriser ou non les accès depuis l'extèrieur.                                                                             ...

Voir la suite
Non résolue

Transfert configuration entre Stormshield SN

Posée par Alain Bosco dans Administration

Bonjour.

J'aimerais savoir s'il est possible (et comment) de transférer la config d'un Stormshield sur un autre.
Afin d'éviter de refaire toute une config à la main lors d'un changement de matériel.

J'ai essayé de faire un backup sur un SN500 et de l'importer sur un SN310 sans succès.
Possible ? Et de quel matériel vers quel matériel ? D'une version de firmware vers une autre ?

Merci.

Non résolue

SN510 - VPN SSL ne fonctionne pas avec Bouygues et Red by SFR

Posée par Benjamin Navarrete dans Administration

Bonjour, depuis de nombreuses années et encore plus depuis 1 an nous rencontrons un problème pour télétravailler.

Nous n'arrivons pas à créer de tunnel VPN SSL avec les logiciels Stormshield SSL VPN client ou OpenVPN vers notre entreprise.

Tout fonctionne bien avec d'autres opérateurs tels que Free, Orange, SFR, mais avec Red by SFR ou Bouygues, le tunnel ne se crée pas. Il bloque après l'étape suivante :

Wed Mar 31 10:34:04 2021 MANAGEMENT: >STATE:1617179644,TCP_CONNECT,,,,,,
Wed Mar 31 10:36:05 2021 TCP: connect to [AF_INET]xxx.xxx.xxx.xxx:445 failed: Connection timed out (WSAETIMEDOUT)

Nous avons trouvé qu'en désactivant l'option dans la box SFR : Home > Réseau v4 > Filtrage

"Protéger vos ordinateurs Windows de l'internet", le tunnel se créé bien.

 Aurait-il un blocage au niveau des box SFR (Red By SFR) et Bouygues ? Je trouve bizarre que très peu de personnes aient le même problème que nous. Surtout avec le développement du télétravail...

Si...

Voir la suite
Non résolue

Stormshield et table ARP

Posée par Jean Korn dans Administration

Bonjour

 

Je rencontre un problème avec mon Stormshield version 3.7.17.

 

J’ai créé un objet de type host ou j’ai spécifié un nom, une IPv4 et un mac adress.

 

J’ai ensuite créé une régle de filtrage pour cet objet.

 

La machine n’existe plus physiquement, j’ai supprimé l’objet réseau (objects -> Network objects -> sélection de mon host puis bouton delete.

 

L’IP de cet objet a été réattribué par mon serveur DHCP à une autre machine.

 

Ma nouvelle machine n’arrive pas à accéder à mon stormshield.

Ma nouvelle machine ping les autres machines de mon réseau local, mais elle n’arrive pas à afficher le portail du Stormshield par exemple.

Si je fixe une autre adresse IP, ma nouvelle machine, elle se connecte au stormshield sans problème.

 

J’ai redémarré le SN910, le problème persiste.

j'ai exécuté la commande : arp -a | grep <addresse-ip> resultat : ? (adresse-ip) at mac-adress on igb0 permanent [ethernet] et l'adresse IP...

Voir la suite
Non résolue

Adresse MAC non apprise sur SN710

Posée par Pascal Le Bihan dans Administration

Bonjour

 

J'ai un soucis d'apprentissage d'adresse mac sur un VLAN. Nous avons une interco avec un partenaire en Lan2lan et cette interco ne fonctionne plus depuis qu'ils ont eu une boucle ce weekend. Je vois bien leur mac remonter sur notre coeur de reseau mais pas jusqu'au stormshield. Quand je fais un tcpdump sur l'interface  je vois bien du traffic entrant mais pas de réponse. Est ce que la mac a pu etre blacklistée sur mes boitiers ? 

 

Merci de vos conseils.

Pascal

Non résolue

Mise en place d'une DMZ

Posée par Bs 45S dans Administration

Bonjour à tous,

Je dois mettre en place une DMZ dans mon entreprise et c'est une première. C'est pour un serveur FTP. J'aimerais savoir si ce que je compte faire est bon ou à l'inverse, est une belle erreur. Merci par avance. :-) 

Actuellement, nous avons un SN510 qui fait office de coeur de réseau. Une interface est paramétrée avec différentes IP en 192.168.X.254/24 suivant les services nécessaires (plage PC, Wiifi, serveurs, etc...), ceci est donc notre LAN. A savoir également que notre routeur fibre est branchée sur une autre interface.

Pour la mise en place de la DMZ, je pensais brancher notre serveur FTP sur une 3ème interface. Par exemple, l'IP de l'interface du SN serait 10.0.1.254/24 et l'IP du serveur en 10.0.1.10/24. Cette partie là est-elle déjà bonne ?

Concernant les flux, j'ai besoin que certains utilsateurs accèdent à ce serveur FTP, je peux paramétrer une règle avec les users renseignés ? Le SN est relié à notre AD.  

Pour l'externe, les clients...

Voir la suite
Non résolue

Modification réseau d'une interface

Posée par Jean Korn dans Administration

Bonjour,
Sur notre SN510, j'ai une interface Public(3)  dont le réseau associé est 192.168.7.0/24 malheureusement c'est plage IP est trop restreinte pour mes besoins : Wifi ouvert.


Est-il possible de changer de plage d'IP afin d'obtenir un nombre plus important d'IP ?

 

Merci

Non résolue

SN210 - configuration de port entrant - Débutant

Posée par Bernard Coudron dans Administration

Bonjour,

Je découvre cette gamme de firewalls chez un nouveau client, et j'ai quelques problèmes pour aborder sa configuration.

J'essaie tout simplement de configurer un accès entrant (venant d'internet), du port RDP (TCP 3389) et le rediriger vers un serveur interne (avec le port 3389 actif et ouvert sur le serveur - et le host créé avec la bonne IP interne).

 

J'ai configuré le firewall :

 

Et j'ai configuré le NAT :

 

Mais ça ne passe pas.

 

Pourriez-vous SVP m'aider à trovuer mon erreur ?

Merci d'avance pour votre aide.

Non résolue

Stormshield SN500 - Limite de taille de fichier téléchargé

Posée par Alain Bosco dans Administration

Bonjour.

Sur un SN500 en version 3.7.14 j'essaye de mettre en oeuvre une limite de taille de fichier téléchargé.
Dans la partie "Application Protection" puis "Protocols" puis "Analyzing file" du http concerné je mets 102400 en taille limite (100 Mo).
Quand je fais des tests je vois que la règle de nat et le numéro d'ips prévus sont bien utilisés mais je peux tout de même télécharger n'importe quels fichiers.

Dans l'onglet IPS si je bloque la commande GET tous les téléchargements sont bien bloqués ce qui confirme que je modifie bien le bon protocole.

Quels sont les réglages à faire pour mettre en oeuvre la limite de taille svp ?

Résolue

Soucis avec FILTRAGE URL sur SN710 ...

Posée par Johann Coquillet dans Administration

Bonjour,

Je rencontre un soucis avec un SN710 et le filtrag URL.
Lorsque je rentre une catégorie et que je valide la config, pas d'erreur, mais quand je reviens sur ma règle de filtrage, j'ai le message d'erreur comme joint.
Quelqu'un aurait il une idée pour que je solutionne.
A noter que cela le fait sur n'importe quel filtrage !!

Merci de votre aide

Johann

Non résolue

Accès sites internes via VPN

Posée par Max Vht dans Administration

Bonjour,

Travaillant avec un équipement Stormshield dans mon entreprise actuelle, je sollicite votre aide sur un problème où je pêche un peu. 

Pour vous expliquer, nous avons un site web placé dans la DMZ. Celui-ci est accessible depuis internet. Lorsque nous sommes dans le réseau d'entreprise, celui-ci est également fonctionnel. 

Cependant, depuis quelques jours, nous sommes contraints de travailler via le VPN SSL mis en place. Tout fonctionne très bien, hormis le fait que nous ne pouvons pas accéder au site lorsque nous sommes connectés en VPN.  

Il suffirait de se déconnecter du VPN pour l'atteindre vous pourriez me dire, et oui, c'est le cas. Mais le fait de ne pas trouver la solution pour aller sur le site directement via le VPN me dérange.

J'ai regardé au niveau des filtrages, pour que le réseau VPN soit bien autorisé à aller jusqu'au serveur, j'ai testé avec quelques règles plutôt permissives juste pour vérifier, mais je bloque.

Auriez-vous des pistes...

Voir la suite
Non résolue

compte particulier mystormshield

Posée par Michel Merle dans Administration

Bonjour,

 J’ai acheté récemment un SN160 neuf pour sécuriser mon réseau et aussi me permettre de me former sur les produits stormshield (formation prochaine sur CSNA).

Le problème est que pour créer mon compte sur mystormshield, on me demande un numéro siret que je ne peux fournir étant donné que je suis un particulier.

Comment dois-je faire.

D’avance merci pour votre réponse

Cordialement

Messages d'alerte